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ABSTRACT: 

CHG DATE=20020802 STATUS-Q> This device comprises fi rst interface means fR, 10) for 
at least receiving data from the server v ia the said terminal , second interface 
jneans comprising a keyboard ( 8) and a display (6) for inputting and reading data by 
a user of the said device , a microcomputer (4) suitable for pro cessing the data 
Received bv the device, data memory stor ag e means (12) with pr otected access and an . 
electrical energy source for supplying the various circuits. The microcomputer is 
programmed to 'carry out, in addition to an authentication function at the level of , 
,the server (S) : - reception via the said terminal and the said first interface 
means of enciphered data originating from the server whi ch a re representative, of a 
transaction ^ff ected by the said use^ with the said server via the said terminal 
and the memory storage of the said transaction data in the said memory storage 
means in response to the signature of the said transaction, - access by the user to 
at least one service or the lik e by means of the said de vice., in accordance with , 



the said transaction data stored in memory in the memory storage means . 
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© Ce dispositif comprend des premiers moyens 
d'interface (R, 10) pour au moins recevoir des don- 
n^es du serveur via ledit terminal, des seconds 
moyens d'interface comprenant un clavier (8) et un 
afficheur (6) pour I'entree et la lecture de donnSes 
par un utilisateur dudit dispositif, un microcalculateur 
(4) propre a traiter les donn^es regues par le dispo- 
sitif, des moyens de memorisation de donn^es (12) 
a acces protege* et une source d'^nergie eiectrique 
pour alimenter les divers circuits. - 

Le microcalculateur est programme" pour assu- 
rer, outre une fonction d'authentification au niveau 
du serveur (S) : 

- la reception via ledit terminal et lesdits pre- 
miers moyens d'interface de donnSes chiffrSes 
en provenance du serveur qui sont representa- 
tives d'une transaction effectuee par ledit utili- 
sateur avec ledit serveur via ledit terminal et la 
memorisation desdites donn6es de transaction 
dans lesdits moyens de memorisation en r£- 
ponse a la signature de ladite transaction, 

- I'acces de I'utilisateur a au moins un service 
ou similaire au moyen dudit dispositif, en fonc- 
tion desdites donn£es de transaction memori- 
s6es dans les moyens de memorisation. 
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L'invention est relative a un dispositif portable 
electronique pour etablir une liaison s^curis^e avec 
un serveur via un terminal. 

II est connu du document WO 87/01835 un tel 
dispositif comprenant des premiers moyens d'inter- 
face pour au moins recevoir des donn^es du ser- 
veur via ledit terminal, des seconds moyens d'in- 
terface comprenant un clavier et un afficheur pour 
I'entrge et la lecture de donn€es par un utilisateur 
dudit dispositif, un microcalculateur propre a traiter 
les dohn£es regues par le dispositif, des moyens 
de memorisation de donnees a acces protege et 
une source d'energie eiectrique pour aiimenter les 
divers circuits, ledit microcalculateur etant pro- 
gramme" pour assurer une fonction d'authentifica- 
tion au niveau du serveur en calculant, a partir 
d'informations provenant du serveur via ledit termi- 
nal et lesdits premiers moyens d'interface, suivant 
un algorithme, un code d'authentification qui est 
transmis au serveur via ledit terminal, un calcul de 
code etant £galement effectue 1 par le serveur, sui- 
vant un algorithme semblable a partir desdites in- 
formations transmises audit dispositif, faeces au 
serveur a partir dudit terminal etant autorise lors- 
qu'il y a coherence entre les codes calculus par le 
serveur et le microcalculateur et refuse* dans le cas 
contraire. 

Un tel dispositif portable Electronique offre un 
degre d 'application limite* au controle d'acces a un 
systeme informatique. 

L'invention a pour but de fournir un dispositif 
portable electronique, tel que celui defini pr6c6- 
demment, qui permette d'accomplir un maximum 
de fonctions et duplications tout en conservant 
une sOrete d'emploi suffisante et une protection 
efficace contre des utilisations frauduleuses. 

II est souhaitable, en outre, qu'un tel dispositif 
reste d'un encombrement r^duit, d'un prix relative- 
ment bas pour permettre sa diffusion a grande 
echelle, et d'une mise en oeuvre simple. 

Un dispositif portable electronique tel que d6fi- 
ni dans la revendication 1 offre un fonctionnement 
autonome en ce sens qu'une fois que des donnees 
de transaction, telles qu'une certaine somme d'ar- 
gent, ont 6te" stock6es en m6moire, I'utilisateur 
peut acceder a des services, des paris ou des jeux 
independamment de tout lien avec le serveur. 

De pre^rence, lesdits premiers moyens d'in- 
terface comprennent des moyens de reception op- 
tique tels que des phototransistors. 

De preference, le microcalculateur est pro- 
gramme pour ne rendre ce dispositif actif qu'apres 
introduction, sur le clavier, d'un code confidentiel 
d'identification de I'utilisateur du dispositif. 

Le dispositif portable electronique comprend 
de preference une memoire de stockage pour le 
stockage d'informations provenant de I'exterieur. 



L'afficheur est avantageusement du type a 
cristaux liquides (LCD) et peut comporter huit ca- 
racteres alphanumeriques alignes. 

Le dispositif a de preference la forme d'un 
5 boltier paralieiepipedique rectangle de faible epais- 
seur, notamment de I'ordre de 5 mm. Les moyens 
de reception optique sont avantageusement consti- 
tues par des phototransistors ; ces phototransistors 
sont disposes sur la tranche d'un petit cote du 
ro boTtier. Les phototransistors sont de preference au 
plus au nombre de trois, alignes. 

Les phototransistors permettent de recevoir 
des informations optiques d'un ecran ou de com- 
posants actifs, de type diodes eiectroluminescen- 
?5 tes, modules par un signal eiectrique. 

Les trois phototransistors alignes permettent 
d'obtenir un dispositif plat qui peut etre pointe vers 
re c ran et peut s' adapter sans parametrage aux 
tailles communes d'ecrans de terminaux informati- 
ve ques ou teiematiques. 

Le nombre de phototransistors peut etre inte- 
rieur a trois ; deux phototransistors, tout en permet- 
tant de conserver I'avantage de I'adaptation aux 
differentes tailles d'ecran, ne permettent qu'un d6- 
25 bit plus faible. 

Une disposition a quatre phototransistors, ou 
plus, en ligne ne permettrait plus I'adaptation aux 
differentes tailles d'ecran sans parametrage. Quatre 
phototransistors disposes en carre permettent une 
30 adaptation a tous les ecrans, mais impliquent de 
plaquer le produit a recran, rendant le dispositif 
moins ergonomique et mal adapte aux petits termi- 
naux. 

Avantageusement, les extremes du cote du 
35 boltier, comportant les phototransistors, sont mu- 
nies de tampons, notamment en matiere elastome- 
re, de forme sensiblement hemispherique, permet- 
tant un meilleur appui du boltier contre un epran 
bombe. 

40 Le microcalculateur est avantageusement pro- 

gramme de telle sorte qu'une temporisation soit 
pr6vue pour faire retourner le dispositif electroni- 
que a retat de repos, au bout d'un temps predeter- 
mine, notamment quatre minutes, apres que le 

45 dispositif a ete active par entree du code confiden- 
tiel correct d'identification. 

Le microcalculateur peut §tre en outre pro- 
gramme de maniere a bloquer le dispositif apres 
entree consecutive d'un certain nombre de codes 

50 confidentiels errones, par exemple quatre codes, la 
reactivation du produit ne pouvant §tre assume que 
par une procedure ou un outil special. 

Le dispositif comporte, en dehors d'une horlo- 
ge systeme propre au microcalculateur, une horlo- 

55 ge temps reel permettant de donner au dispositif 
une duree de vie limitee, faire fonctionner le dispo- 
sitif suivant des tranches horaires et/ou dater les 
operations, notamment utilisations et transactions 
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effectives avec ce dispositif portable. 

Le dispositif comporte une mSmoire morte 
(ROM) organised en deux zones, a savoir : 

- une zone programme dans laquelle sont stoc- 
ked les instructions relatives a : 

- la fonction de dScodage et reception opti- 
que ; 

- la fonction d'identification ; 

- la fonction d'authentification ; 

- les fonctions applicatives, telles que pari, 
jeu tdl6vise\ porte-monnaie, t6l6-achat ; 

- et une zone fabrication pour m^moriser les 
informations relatives a la fabrication de la 
carte et pour initialiser le produit, ces infor- 
mations concernant : 

- le code client ; 

- le numeVo du masque utilise* pour le mi- 
crocalculateur ; 

- la cle" de fabrication, notamment constitute 
par 128 bits, permettant le controle de la 
personnalisation. 

La mtmoire de stockage du dispositif est 6ga- 
lement organised en deux zones, a savoir : 

- une zone donntes, pour le stockage d'infor- 
mations concernant, par exemple, un pari, un 
jeu, un montant, un nombre de films vision* 
n£s dans le cadre d'une television a ptage, 
des cert if i cats de transaction, etc... ; 

- et une zone personnalisation contenant les 
informations relatives : 

- au code confidentiel (identification); 

- a la cle secrete d'authentification ; 

- aux parametres d'exploitation (par exem- 
ple blocage de la carte au bout de quatre 
essais infructueux ^identification) ; 

- les diverses elds secretes eVentuellement 
ndcessaires pour les fonctions applicati- 
ves. . 

La mdmoire de stockage peut etre une PROM 
ou une EEPROM, comme dans les cartes a mi- 
moire ou a microprocesseur, ou une RAM sauve- 
gardee. 

Les solutions PROM ou EEPROM nScessitent 
des tensions et courants d'alimentation relative- 
ment importants. Pour des raisons de s^curite", ces 
m6 moires ne peuvent etre programmers de I'extS- 
rieur ntcessitant, comme sur la carte a micropro- 
cesseur, une autoprogrammation par le microcal- 
culateur. Ces solutions offrent un bon degre* de 
security mais sont oneVeuses ; elles se justifient 
cependant pour certaines applications. 

Une solution plus simple et moins chere est 
avantageusement realised a partir d'une RAM 
(m6moire vive), interne au microcalculateur, sauve- 
gard6e par I'alimentation du dispositif avec un cou- 
rant tres faible et dont I'acces en Venture pour la 
zone personnalisation peut §tre prot£g£e, notam- 
ment par un fusible qui est grille apres la phase de 



personnalisation. 

Le microcalculateur comporte un bus de don- 
ntes et un bus d'adresses non accessibles de 
I'extgrieur, de telle sorte qu'on ne peut lire ni 

s modifier frauduleusement, de l'exte>ieur, les infor- 
mations du dispositif. 

Le clavier du dispositif est de presence un 
clavier numerique comportant douze a seize tou- 
ches, a savoir dix touches correspondant aux chif- 

io fres 0 a 9 et deux a six touches fonctions supplt- 
mentaires qui peuvent avantageusement §tre per- 
sonnalistes en fonction de I'application (pari, jeu, 
television a pSage), L'afficheur est du type alpha- 
nume>ique LCD. 

75 L'invention consiste, mises a part les disposi- 
tions exposes ci-dessus, en un certain nombre 
d'autres dispositions dont il sera plus explicitement 
question ci-apres a propos d'un mode de realisa- 
tion particulier dtcrit avec reference aux dessins ci- 

20 annexes, mais qui n'est nullement limitatif. 

La figure 1, de ces dessins, est un schema 
synoptique simplify d'un dispositif portable 6lectro- 
nique conforme a l'invention. 

La figure 2 est une vue en plan du dispositif. 

25 La figure 3 est une vue suivant la fleche III, 

figure 2. 

La figure 4 est une vue suivant la fleche IV, 
figure 2. 

La figure 5 est un schema illustrant le principe 
30 de I'identification et de I'authentification. 

La figure 6 est un schema illustrant la seute 
fonction d'identification. 

La figure 7 est un schema illustrant la fonction 
d'authentification. 
35 La figure 8 est un schema illustrant I'utilisation 

d'un dispositif selon l'invention avec un boftier 
d'adaptation directement raccord£ a un terminal. 

La figure 9 est un schema illustrant le scenario 
de connexion entre un terminal et un serveur en 
40 utilisant le dispositif de l'invention. 

La figure 10 est un schema semblable a celui 
de la figure 9, pour une fonction porte-monnaie. 

La figure 11 est un schema illustrant l'inte>et 
du dispositif de lecture a trois phototransistors pour 
45 des 6crans de failles diffgrentes. 

La figure 12 est un schema d'un circuit d'au- 
toadaptativite* a un ecran. 

La figure 13, enfin, est un diagramme illustrant 
le fonctionnment du circuit de la figure 12. 
so En se reportant aux dessins, notamment aux 
figures 1 a 4, on peut voir un dispositif portable 
electronique 1 , du genre carte a mdmoire, compre- 
nant un bonier exte>ieur 2 de forme parall§l6pip6di- 
que rectangle, et dont l*6paisseur e (figure 3) est 
55 faible, notamment de I'ordre de 5 mm. La largeur I 
et la longueur L du boftier peuvent §tre dgales a" 
celles utilises de maniere geneVale pour les cartes 
de credit, cartes bancaires, etc., e'est-a-dire de 
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I'ordre de 54 mm pour I et de 85 mm pour L. 

Le dispositif com p rend au moins des moyens 
de reception optique R avantageusement consti- 
tuSs par des phototransistors 3 (figure 4) disposes 
sur la tranche d'un petit cote" du boltier 2, et en 
particulier alignSs. Dans I'exemple consider, les 
phototransistors sont au nombre de trois. La figure 
1 1 illustre I'intdret du dispositif de lecture a au plus 
trois phototransistors 3, pour des 6crans 48, 49 de 
tallies diffeVentes. L'^cran 48 correspond a la plus 
petite taille, et I'gcran 49 a la plus grande taille. 

Lorsque I'on passe d'une taille d'6cran a une 
autre, l'6cartement entre les centres des paves 
lumineux p1 , p2, p3 va changer, alors que I'Scarte- 
ment entre les phototransistors 3 reste constant. 

Avec la disposition a au plus trois phototransis- 
tors, Tensemble des pav6s est toujours centre* et il 
est possible d'allonger les pave*s droite et gauche 
p2, p3, suivant la direction d'alignement D des 
phototransistors, de maniere a etre sQr que, quelle 
que soit la taille de l'6cran, les phototransistors 
droite et gauche se trouvent toujours en face d'une 
partie des pavSs p2, p3 correspondants. 

L'dcran d'un terminal a g6ne>alement une for- 
me convexe. Pour faciliter ('application de la tran- 
che du boftier 2, munie des phototransistors 3, 
contre cet 6cran, on pr^voit avantageusement, a 
chaque extremity de la tranche, un tampon Q (voir 
figure 2), notamment en matiere yiastomere et de 
forme sensiblement h^misph^rique, faisant saillie 
sur cette tranche. 

Les moyens de reception R, comme illustre sur 
la figure 1, sont relics a un microcalculateur 4, par 
IMntermSdiaire de moyens de traitement 5 propres 
a r^aliser une auto-adaptativite a un ecran de ter- 
minal 13. 

En effet, la transmission d'informations desti- 
nies aux moyens R s'effectue par une sequence 
de paves lumineux et sombres p (voir figure 8) qui 
apparaissent en une zone pTedeterminSe d'un 
Scran 13e de terminal 13 ; en raison des variations 
de luminosity d'un Scran de terminal a un autre, il 
est possible qu'un pavS sombre d'un terminal soit 
plus lumineux qu'un pave* Sclaire* d'un. autre termi- 
nal. Pour Sviter les distorsions de lecture d'un 
terminal a I'autre, les moyens de traitement 5 sont 
prSvus pour permettre, au cours d'une phase d'ini- 
tialisation, d'ajuster un seuil de comparaison en 
fonction de la luminosity de I'Scran du terminal. 
Pour tenir compte de la dispersion de sensibility 
des phototransistors, le seuil de comparaison peut 
etre dSfini pour chacun des phototransistors. 

Comme visible sur la figure 12, ce seuil peut 
etre obtenu par la dScharge d'une capacity C, sous 
le controle du microcalculateur 4, a travers une 
resistance W. La charge et la ddcharge de la 
capacity C sont contr6ISes par le microcalculateur 
4 a travers la resistance W au moyen d'un port 



d'entrSe/sortie Z qui peut etre place* dans les Stats 
suivants : Stat haut ( n 1)") pour la charge de la 
capacitS C, 6la\ bas ("O") pour sa d^charge ; Stat 
haute impedance ("HZ") par le maintien du seuil 

5 pendant la rSception. Un comparateur K regoit, sur 
une entrSe + le signal provenant des phototransis- 
tors et sur I'autre entrSe - la tension aux bornes de 
la capacity C, seuil de comparaison. Avant mise en 
service, la capacity C est chargSe a sa valeur 

70 maxtmale. Pendant ('initialisation, la capacity C se 
dScharge comme represents par Care de courbe U 
• de la figure 13 (tension aux bornes de la capacity 
en ordonnSes, temps en abscisse), jusqu'a attein- 
dre la valeur souhaitSe, fonction du niveau de rS- 

15 ception et dStermi nye par le microcalculateur. Le 
seuil de comparaison est alors maintenu constant 
comme reprSsentS par le segment V de la figure 
13, pendant la rSception. Ce seuil de comparaison 
est done fonction du niveau de rSception optique. 

20 Ce seuil variable peut etre complSty par un seul 
fixe pour les faibles luminositSs. Le meme effet 
peut dtre obtenu en cohtrolant le gain d'un amplifi- 
cateur par le microcalculateur. 

Le codage de la transmission optique est dSfini 

25 de maniere a diminuer le temps de transmission et 
s'adapter a tous les rSseaux et protocoles reliant le 
terminal au systeme central. Les caractSristiques 
principales de cette transmissions dans le cadre 
d'un systeme informatique sont qu'il est seulement 

30 • possible de maftriser le sSquencement des pavSs 
affichSs mais pas les temps d'affichage. Ces carac- 
tSristiques justifient ('utilisation d'au moins deux 
phototransistors pour la transmis si on sur un Scran 
informatique. Les caractSristiques de transmission 

35 sur tSiyvision hertzienne ou c§biye permettent le 
controle des temps d'affichage off rant la possibility 
d'une transmission synchrone par I'intermSdiaire 
d'un seul phototransistor. La synchronisation de la 
transmission s'effectue a I'aide du balayage video. 

40 Ceci permet au dispositif portable lorsqu'il est utili- 
se avec la tSISvision de fonctionner et recevoir les 
informations a distance (quelques metres) en poin- 
tant le produit vers I'Scran. 

Les fonctions de rSception et dScodage opti- 
cs ques inscrites dans la mSmoire du microcalculateur 
du dispositif portable pourront §tre spScifiques au 
mode d'exploitation , tSlSmatique ou tSISvision, 
mais le meme dispositif pourra fonctionner sur les 
deux supports en utilisant un ou trois phototransis- 

50 tors. 

Le dispositif 1 comprend un afficheur 6, de 
prSfSrence a cristaux tiquides (LCD), formant un 
Scran rectangulaire 7 (figure 2) sur le boitier. De 
preference, cet Scran 7 est prSvu pour afficher huit 
55 carac teres alp nan umSri ques, alignSs. L'afficheur 6 
permet de visualiser des informations provenant du 
microcalculateur 4. 
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Une source d'tnergie eiectrique, g6ne>alement 
constitute par une pile eiectrique de dimensions 
rtduites (non representee sur les dessins), est pr£- 
vue pour alimenter les divers circuits. 

Le dispositif comporte un clavier 8 notamment 
constitue*. comme represente sur la figure 2, par 
douze touches t correspondant respectivement aux 
dix chiffres 0 a 9. Les touches t sont disposers en 
quatre rangtes de trois, parallels a I'tcran 7. Le 
clavier 8 est dispose* adjacent a un bord du boltier 
2, le bord gauche selon la representation de la 
figure 2, pour qu'une surface 9, relativement impor- 
tante, soit degagee sur la droite et exploitable 
graphiquement. 

Le clavier 8 permet a I'utilisateur d'entrer ega- 
lement des informations dans le microcalculateur 4. 

Avantageusement, le boltier 2 comporte des 
moyens d'entr6e-sortie serie 10 relics au microcal- 
culateur 4. Ces moyens peuvent §tre une prise ou 
des moyens de couplage optique, I'entree optique 
pouvant avantageusement etre realisee par un des 
trois phototransistors. Une telle prise 10 permet un 
raccordement direct sur une prise pr£vue dans un 
boiler d 'adaptation 26 dont il sera question a pro- 
pos de la figure 8. 

Le microcalculateur 4 est un microcalculateur 
masque, en technologie C MOS. II peut §tre du 
type MC 68 HC 05B6. de "Motorola pour une 
version microcalculateur autoprogrammable, ou du 
type NEC 75308 pour une version a me moire de 
stockage RAM, ou alors du type circuit specifique 
(ASIC) pour une version a RAM protegee. Le cir- 
cuit specifique sera developpe a partir d'un micro- 
calculateur standard des types precedents dans 
lesquels on inclura les moyens de protection de la 
memoire. Ces moyens de protection pourront etre 
constitues par un fusible grille apres ecriture de la 
memoire. II comporte une memoire morte (ROM) 
11 et une memoire de stockage 12. 

La memoire morte 11 est organisee en deux 
zones a savoir une zone programme et une zone 
fabrication, dont il sera question plus loin. 

La memoire 12 est egatement organises en 
deux zones a savoir une zone donn6es, et une 
zone person nalisati on, dont il sera question plus 
loin. 

Le bus de donnees et le bus d'adresses (non 
repr£sentes sur les dessins) du microcalculateur 4 
ne sont pas accessibles de I'exteheur, de maniere 
a rendre impossible une lecture ou une modifica- 
tion fraud uieuse, depuis I'exterieur, des informa- 
tions contenues par le dispositif 1 . 

Le microcalculateur 4 est programme (les ins- 
tructions du programme sont stockees dans la me- 
moire morte 11) pour ne rendre actif le dispositif 
qu'apres introduction, sur le clavier 8, d'un code 
confidentiel d'identification PIN de I'utilisateur du 
dispositif. Ce code confidentiel est connu seule- 



ment du titulaire du dispositif 1. 

Une temporisation on est avantageusement 
prevue pour faire retourner le microcalculateur 4 a 
retat de repos au bout d'un temps predetermine, 

5 notamment de 4 minutes, apres que ce microcal- 
culateur a ete active par entree du code confiden- 
tiel correct. L'etat de repos du microcalculateur 4 
correspond a un etat dans lequel ce microcalcula- 
teur ne prend pas en compte les informations 

70 provenant des moyens de reception R. 

Le programme stocke dans la memoire 1 1 est 
en outre prevu pour bloquer le dispositif 1 apres 
entree consecutive d'un certain nombre de codes 
confidentiels erron6s sur le clavier 8, par exemple 

75 quatre codes. Le dispositif 1 devient alors inutilisa- 
ble, et la reactivation du dispositif ne peut etre 
assure que par une procedure speciale par exem- 
ple sur un centre serveur. 

Le dispositif 1 etant, en application de base, 

20 destine a autoriser une connexion sur un serveur, a 
partir d'un terminal 13 ou equivalent (console de 
"MINITEL"), le microcalculateur 4 est programme 
(instructions stockees dans la zone programme de 
la memoire 1 1 ) pour assurer une fonction d'authen- 

25 tification vis-a-vis du serveur S. Pour cela le micro- 
calculateur catcule, a partir d'informations prove- 
nant du serveur, suivant un algorithme, un code qui 
apparalt sur I'afficheur 6. L'utilisateur doit alors 
entrer ce code sur le clavier 13c d'un terminal i3 

30 (voir figures 7 et 9) relie au serveur. Le calcul d'un 
code est effectue egalement par le serveur, suivant 
un algorithme semblable, et une comparaison du 
code calcuie par le serveur et du code introduit par 
I'utilisateur est effectue par le serveur ; si une 

35 coherence es t constatee entre les deux codes, 
I'acces au serveur est donne a I'utilisateur ; si 
aucune coherence n'apparaft entre les deux codes 
calcuies, I'acces au serveur reste interdit a I'utilisa- 
teur. 

40 Les figures 5 a 7, et (a figure 9 permettent de 
mieux illustrer ces caracteristiques. 

Sur la figure 5 on a schematiquement repre- 
sente en S le serveur ou site a proteger, sur la 
partie gauche de cette figure. Le trait mixte 13 

45 represente schematiquement un terminal, consti- 
tuant une interface, situee a distance du serveur S 
et reliee, par exemple par un cable, a ce dernier. 
Ce terminal 13 comporte un ecran et un clavier non 
representes sur la figure 5. Le dispositif 1 confor- 

50 me a I'invention est schematiquement represente 
sur la partie droite de cette figure 5. Pour pouvoir 
acceder au serveur S depuis le terminal 13, I'utili- 
sateur doit d'abord introduire son code personnel 
d'identification PIN sur le clavier 8 du dispositif 1, 

55 ce qui est schematise par la fleche 14. 

Si le code est correct, le dispositif 1 est pret a 
recevoir des informations, ce qui peut etre signaie 
par un message sur recran 7 (figure 2). 
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Le deroulement des operations sera d6crit plus 
en detail a propos des figures 7 et 9. Le schema 
de la figure 5 fait apparaltre que, lors de I'authenti- 
fication, le dispositif 1 se comporte com me une 
cle, tandis que le serveur S se comporte comme 
une serrure. La fleche 15 symbolise t'affichage sur 
recran du terminal 13 d' informations provenant du 
serveur, tandis que (a fleche 16 symbolise la saisie 
d'informations a partir du clavier du terminal 13. 

Le schema de la figure 6 illustre la fonction 
d'identification. 

Initialement, le dispositif 1 est a retat de repos 
schematise par le cercle supe>ieur du schema. 

L'entree du code confidentiel, par I'utilisateur, 
sur le clavier 8 fait passer le dispositif a retat 
active schematise par le cercle situe en bas a 
gauche de la figure 6. Dans cet etat, le dispositif 
est propre a recevoir et a traiter les informations 
optiques apparaissant sur le terminal, pour permet- 
tre a l'utilisateur d'acceder a un serveur. 

Au bout d'un temps predetermine par une tem- 
porisation, notamment de I'ordre de 4 minutes, qui 
correspond a la fin de la fonction d'identification, le 
dispositif 1 retourne a retat de repos. 

S'il y a entree consecutive de plusieurs codes 
confidentiels errones, par exempte quatre codes 
successifs errones, le dispositif 1 passe de retat 
de repos a un etat desactive represent^ par un 
cercle situe a droite sur la figure 6, interdisant 
toute utilisation du dispositif. 

Le retour de retat desactive a retat de repos 
ne peut etre assure que par une procedure de 
reveil qui ne peut etre effectuee que sur un centre 
serveur, dans I'exemple decrit. 

La figure 7 est un schema fonctionnel illustrant 
la fonction d'authentification evoquee a propos du 
schema de la figure 5. La partie gauche de cette 
figure correspond a ('automate de communication 
ou serrure du serveur S. La partie situ^e a droite 
du trait mixte (lequel schematise le terminal 13) 
correspond a la cie constituee par le dispositif 1 . 

Le bloc 17 correspond a la generation d'un 
nombre aieatoire a par le serveur S, Le bloc 18 
correspond au codage et a I'affichage sur recran 
13e du terminal. Le bloc 19 correspond a la recep- 
tion optique, par les phototransistors 3 du dispositif 
1. Le bloc 20 correspond au decodage, par le 
microcalculateur 4, de ('information regue. Le bloc 
21 correspond au calcul par le microcalculateur 4, 
du code alphabetique, a partir de r information re- 
gue a, suivant un algorithme A. Le bloc 22 corres- 
pond - a I'affichage sur recran 7 du dispositif 1 du 
resultat x correspondant au code calcuie en 21 . 

L'utiTisateur ou operateur, schematise par un 
cercle 23, apres lecture sur recran 7, introduit sur 
le clavier 13c du terminal 13 le code affiche sur 
recran 7. 



Le bloc 24 correspond, dans le serveur S, au 
calcul d'un code d'identification suivant un algorith- 
me B a partir du nombre aieatoire a, et a la 
comparaison de ce code calcuie, dansle serveur 
s S, avec celui introduit par I'operateur 23 sur le 
clavier 13c. 

Si la comparaison entre les deux codes etablit 
une coherence, en accord avec les algorithmes A 
et B, I'acces du systeme est donne a I'operateur 
to 23. 

En cas d'absence de coherence, I'acces de- 
meure interdit. 

Le bloc 25, relatif au dispositif 1 , concerne des 
fonctions applicatives programmees dans le micro- 

15 calculateur 4, telles que jeux de television, teie 
pari, television a peage, porte-monnaie, teie-achat 

Certaines operations necessitent de maintenir 
relativement longtemps le boltier 1 contre recran 
13e du terminal pour les echanges d'informations. 

20 Pour 6viter a I'operateur d' avoir a tenir le Dot- 

tier 2, on peut pre voir un boltier d'adaptation 26 
(figure 8) pour la mise en oeuvre des fonctions 
necessitant un echange d'informations important. 
Ce boftier comporte un logement debouchant, a 

25 I'exterieur, par une ouverture 27 dans laquelle peut 
etre engage le bonier 2 du dispositif. Le fond du 
logement 27 est equipe de moyens compiementai- 
res des moyens 10 (figure 1). Le boltier 26 est 
raccorde a un c§ble 28 dont I'autre extremite peut 

30 etre branchee sur une prise 29, notamment du type 
RS 232 C, du terminal 13 ou sur la prise peri- 
informatique du MINITEL. 

La figure 9 est un schema du scenario de 
connexion d'un terminal 13 a un serveur S, a I'aide 

35 du dispositif 1 de I'invention. Cette figure 9 explici- 
te les fonctions decrites a propos de la figure 7. 

L'operateur, a partir du terminal 13, etablit tout 
d'abord la connexion avec le serveur S, en tapant, 
sur le clavier 1 3c du terminal 1 3, un numero pr6de- 

40 termine. Le bloc 30 correspond a retablissement 
de la connexion. Le serveur S genere une mire 
(bloc 32) c'est-a-dire fait apparaTtre sur recran I3e 
du terminal des paves lumineux p qui, dans 
I'exemple consider, sont constitues par trois rec- 

45 tangles alignes comme represente sur la figure 9. 

L'utilisateur presente alors le dispositif 1 ma- 
nure a placer les phototransistors 3 en face des 
paves p. Le dispositif 1 est en place pour recevoir 
les informations par voie optique. Bien entendu, 

so auparavant, l'utilisateur a dO valider le dispositif 1 
en introduisant sur le clavier 8 du boltier 2 son 
code confidentiel permettant son identification. 

L'utilisateur appuie alors sur une touche du 
clavier 13c du terminal. Le serveur S, en reponse a 

55 I'enfoncement de la touche du clavier 13c, genere 
et transmet, au terminal 13, sous. forme cbdee, un 
nombre aieatoire, comme indique par le bloc 32. 
Les informations correspondant a ce nombre aiea- 
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toire se traduisent sur recran 13e par des varia- 
tions de niveaux de luminosity des paves p, infor- 
mations qui sont rogues par le dispositrT 1. Ce 
dernier fait apparaltro sur recran 7 un code alpha- 
betique ou alphanumSrique que I'utilisateur intro- 
duit sur le clavier 13c, ce qui correspond au bloc 
33 de saisie par le serveur S. 

Le bloc 34 correspond au calcut, par le serveur 
S, du code a partir du nombre aieatoire genere en 
32, et a la comparaison de ce code calculi avec 
celui fourni a partir du clavier 13c. 

Lorsqu'il y a coherence de ces deux codes, le 
serveur S peut completer I'identification de I'utilisa- 
teur, avant de donner acces au service, en deman- 
dant le nom de I'utilisateur (bloc 35). L'utilisateur 
tape alors son nom sur le clavier 1 3c. 

La derniere etape accomplie par le serveur, 
avant de donner acces au service, est de verifier, 
dans un fichier F, comme indiqug par le bloc 36, la 
concordance entre la cle* d'identification, le nom et 
les droits d'acces. Lorsque la concordance est 
etablie. l'utilisateur est connects au service qu'il 
x peut utilises 

La figure 10 est un schema illustrant une fonc- 
tion porte-monnaie qui peut etre assured par le 
dispositif 1 de I'invention. 

Cette fonction permet le chargement d'une 
somme d'argent pr6d6termin6e ou d'un nombre de 
jetons dans le dispositif 1, plus pr€cis£ment dans 
la memoire de stockage 12 de ce dispositif, a partir 
d'un serveur S dans lequel le detenteur du disposi- 
tif 1 a preaJablement ouvert et approvisionne un 
compte. Cette fonction permet, ensuite, d'acc^der 
a des services du type television a peage, par 
abonnement ou a la consommation, ou a des paris, 
ou d'autres applications par prglevement sur la 
somme d'argent qui a ete chargee dans la me* moi- 
re de stockage 12 du dispositif 1. 

Le schema de la figure 10 pr^sente un exem- 
ple d'implantation de la fonction porte-monnaie. 

Les premieres etapes de ce programme cor- 
respondent a la mise en oeuvre pr£alable des 
fonctions d'identification du porteur du dispositif 1 
et d'authentification de ce porteur vis a vis du 
serveur. Ces Stapes ont ete representees a I'inte- 
rieur d'un rectangle 37 et correspondent, sensible- 
ment, a la figure 9 simplified, certaines Stapes 
interm^diai res n'ayant pas ete reprises dans le 
rectangle 37. Les mSmes references ont ete utili- 
sees sur la figure 10 pour designer des blocs 
semblables a ceux de la figure 9 sans que leur 
description soit reprise. Le bloc 38 correspond a 
I'identification de l'utilisateur par introduction du 
code PIN confidentiel sur le clavier 8 du boftier 2. 

Le rectangle 39 englobe les etapes du pro- 
gramme concernant les operations apres que I'en- 
tree du service porte-monnaie a 6te donn6e a 
l'utilisateur qui se trouve devant le terminal 13 avec 



son dispositif 1 . 

Ll'utilisateur, a partir du terminal 13, effectue, 
sur le clavier 13c, une demande de chargement, 
sur son dispositif 1, d'une somme d'argent d'un 

5 montant determine. L'examen de cette demande 
est effectue dans le bloc 40 ; le serveur S interroge 
son fichier F pour savoir si le credit du compte de 
l'utilisateur est suffisant pour permettre le charge- 
ment de la somme demandee. Si la reponse est 

ro negative, la demande est rejetee comme schemati- 
se par la sortie 41 . 

Si la reponse est affirmative, le programme du 
serveur S passe a retape 42 pour le chiffrement et 
la certification de la transaction, Le serveur S tran- 

15 smet les informations correspondantes au terminal 
1 3, ces informations apparaissant sous la forme de 
paves lumineux p clairs ou obscurs sur recran 13e. 
Le dispositif 1 est applique, par l'utilisateur, contre 
recran 1 3e par sa tranche munie des phototransis- 

20 tors 3 pour recueillir les informations contenues 
dans les paves p. 

L*utilisateur~ou operateur doit alors taper sur le 
clavier 13c une instruction correspondant soit a 
('acceptation du certificat de transaction et de la 

25 sonne annoncee par le serveur S, soit refuser le 
certificat ; ('absence de reponse de I'operateur sera 
consider comme un refus. 

Le bloc 43 correspond a I'etape du programme 
du serveur S qui fait suite a la reponse de I'opera- 

30 teur. Si cette reponse est negative, la transaction 
est rejetee en 44. Si la reponse est positive, le 
programme du serveur passe a I'etape suivante 
representee par le bloc 45 correspondant a la 
signature, c'est-^-dire que, du cote du serveur, les 

35 informations relatives a la transaction sont memori- 
s6es comme indique par le bloc 46, tandis que du 
cote dispositif 1 la somme demandee par I'opera- 
teur est effectivement stockee dans la memoire de 
stockage 12 du dispositif 1 suite aux informations 

40 transmises par le serveur comme sohematise par 
la fleche 47. 

On peut prevoir, egalement, de memoriser 
dans le dispositif 1 les informations relatives a la 
transaction operee (certificat de transaction stocke 
45 dans le dispositif 1). 

Cette application porte-monnaie peut etre avan- 
tageusement mise en oeuvre a I'aide du bottler 
d'adaptation 26. 

Inversement, a partir d'un dispositif 1 dans 
so lequel a ete chargee une somme d'argent, il est 
possible d'acceder a des services, des paris, ou 
des jeux, en preievant la somme a payer sur cede 
stockee dans la memoire de stockage 12. 

Ce paiement permet, en particulier, la mise en 
55 oeuvre locale d'application de jeu ou teie pari (jeux 
de hasard, loteries, matches, courses de chevaux, 
ou analogues, etc.), notamment a partir d'une 
television ou d'un "MINITEL". 
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Le dispositif 1 de I'invention, notamment avec 
sa fonction porte-monnaie, est particulierement 
adapte pour la television a peage. 

periodiquement, te dispositif peut servir au 
paiement a distance de rabonnement a une tetevi- 
sion a peage et recevoir, du serveur, en ^change 
de ce paiement, un code pour ta peViode d'abonne- 
ment qui permettra a ce dispositif 1 de controler le 
d^sembrouillage de I'image. 

Le dispositif 1 de I'invention peut permettre, 
toujours dans le cadre d'une television a peage, de 
payer uniquement pour une Emission ou un film 
que I'utilisateur souhaite voir a une date determi- 
ne^. 

Le dispositif 1, de I'invention, peut fournir un 
compte-rendu des films visionn^s, notamment pour 
la mesure de I'audience, et pour le paiement des 
droits d'auteur. 

Dans le cadre d'une animation teievisee ou 
similaire, il est possible d'envoyer des informations 
depuis une station £mettrice, par voie hertzienne 
ou par des r^seaux cables de television, teiemati- 
ques, informatiques, etc., en faisant apparaftre 
une mire sur l'£cran du recepteur ou terminal, mire 
destin£e a etre lue par les phototransistors du 
dispositif 1 de I'invention plaque* sur I'dcran. Les 
informations ainsi transmises peuvent permettre de 
seiectionner des gagnants a un jeu televise, et de 
mettre en place des jeux ou paris en direct sur la 
television. 

Revendi cations 

1. Dispositif portable eiectronique pour etablir une 
liaison sdcuris^e avec un serveur (S) via un 
terminal (13), ledit dispositif comprenant des 
premiers moyens d'interface (R, 10) pour au 
moins recevoir des donnees du serveur via 
ledit terminal, des seconds moyens d'interface 
comprenant un clavier (8) et un afficheur (6) 
pour I'enttee et la lecture de donnees par un 
utilisateur dudit dispositif, un microcalculateur 
(4) propre a traiter les donnees revues par le 
dispositif, des moyens de memorisation de 
donnees (12) a acces protege et une source 
d'energie 6lectrique pour alimenter les divers 
circuits, ledit microcalculateur (4) etant pro- 
gramme pour assurer une fonction d'authentifi- 
cation au niveau du serveur (S) en calculant, a 
parti r d'informations provenant du serveur via 
ledit terminal et lesdits premiers moyens d'in- 
terface, suivant un algorithme, un code d'au- 
thentification qui est transmis au serveur via 
ledit terminal, un catcul de code etant egale- 
ment effectue par le serveur, suivant un algo- 
rithme semblable a parti r desdites informations 
transmises audit dispositif, I'acces au serveur 
a partir dudit terminal etant autorise lorsqu'il y 



a coherence entre les codes calculus par le 
serveur (S) et le microcalculateur (4) et refuse 
dans le cas contraire, caracterise en ce que 
ledit microcalculateur (4) est en outre program- 
5 me pour assurer : 

- la reception via ledit terminal et lesdits 
premiers moyens d'interface de donnees 
chiffrees en provenance du serveur qui 
sont representatives d'une transaction ef- 

70 fectuee par ledit utilisateur avec ledit ser- 

veur via ledit terminal et la memorisation 
desdites donnees de transaction dans 
lesdits moyens de memorisation en te- 
ponse a la signature de ladite transac- 

15 tion, 

- I'acces de I'utilisateur a au moins un 
service ou similaire au moyen dudit dis- 
positif, en fonction desdites donnees de 
transaction memorisees dans les moyens 

20 de memorisation. 

2. Dispositif selon la revendication 1, caracterise 
en ce que lesdites donnees rogues et memori- 
sees sous la commando du microcalculateur 

25 (4) comprennent des informations relatives a la 

transaction operee. 

3. Dispositif selon la revendication 2, caracterise 
en ce que ladite transaction consiste a stocker 

30 une somme d'argent d'un montant determine 

dans ledit dispositif et lesdites informations 
comprennent ledit montant. 

4. Dispositif selon la revendication 3, caracterise 
35 en ce que ledit microcalculateur (4) est pro- 
gramme pour assurer, en reponse a I'acces 
audit service, le preievement d'une somme a 
payer sur celle stockee. 

40 5. Dispositif selon Tune quelconque des revendi- 
cations 2 a 4, caracterise en ce que lesdites 
donn6es regues et memorisees sous la com- 
mando du microcalculateur (4) comprennent 
un certificat de transaction. 

45 

6. Dispositif selon I'une quelconque des revendi- 
cations 1 a 5, caracterise en ce que (edit 
microcalculateur (4) est programme pour assu- 
rer la memorisation desdites donnees en re- 

60 ponse a ta transmission par le serveur (S) 

d'informations representatives de ladite signa- 
ture de la transaction, lesdites donnees etant 
egalement memorisees dans le serveur (S) en 
reponse a ladite signature. 

55 

7. Dispositif selon Tune quelconque des revendi- 
cations 1 a 6, caracterise en ce que la recep- 
tion par ledit dispositif desdites donnees chif- 
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frees representatives d'une transaction est 
conditionn^e par ('acceptation pr^alable de la- 
dite transaction au niveau du serveur. 

8. Dispositif selon Tune quelconque des revendi- 
cations 1 a 7, caracterise par le fait que te 
microcalculateur (4) est programme pour ne 
rendre le dispositif actif qu'apres introduction, 
sur le clavier (8), d'un code confidentiel d'iden- 
tification de I'utilisateur du dispositif. 

9. Dispositif selon la revendication 8, caracteVise" 
par le fait que le microcalculateur (4) est pro- 
gramme* de maniere a bloquer le dispositif 
apres entrees consecutives d'un certain nom- 
bre de codes confidentiels erronds, ta reactiva- 
tion du produit ne pouvant etre assume que 
par une procedure ou outil special. 

10. Dispositif selon Tune quelconque des revendi- 
cations 1 a 9, caracterise par le fait qu'il com- 
prend une m^moire de stockage (12) organi- 
s§e en deux zones, a savoir une zone donn^es 
et une zone personnalisation. 

11. Dispositif selon la revendication 10, caracteVise* 
par le fait que la m£moire de stockage (12) est 
r£alis$e en RAM et que I'acces en Venture de 
la zone personnalisation est protegee par un 
fusible grille apres personnalisation. 

12. Dispositif selon I'une quelconque des revendi- 
cations 1 a 1 1 , caracterise en ce que lesdits 
premiers moyens d'interface comprennent des 
moyens de reception optique. 

13. Dispositif selon la revendication 12, caracterise 
par le fait que les moyens de reception opti- 
que sont constitues par des phototransistors 
(3). 



dispositif, le boltier d'adaptation (26) etant rac- 
corde a un c§ble (28) dont I'autre extremite 
peut etre branch^e sur une prise (29) d'un 
terminal (13). 

s 
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14. Dispositif selon I'une quelconque des revendi- 
cations prdc^dentes, caracterise par (e fait que 
le clavier (8) est un clavier numerique associe 
a des touches de fonction et I'afficheur (6) est 45 
du type alphanumerique. 



15. Dispositif selon Tune quelconque des revendi- 
cations pr^dentes, caracterise par le fait que 
les premiers moyens d'interface comportent 50 
des moyens d'entnie/sortie (10) relies au mi- 
crocalculateur (4) pour permettre une entr6e et 
une sortie serie, et qu'un bottier d'adaptation 
(26) est pr6vu avec un logement debouchant a 
I'exterieur par une ouverture (27) dans laquelle . 55 
peut etre engage le dispositif, le fond du loge- 
ment (27) etant equipe de moyens compie- 
mentaires des moyens d'entree/sortie (10) du 
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